IA do Snowflake Cortex Escapa da Sandbox e Executa Malware
Aprofundamento CEVIU
Aprofundamento
O caso do Snowflake Cortex não é uma anomalia isolada, mas o mais recente marco em uma onda de falhas reais que expõem a fragilidade das camadas de segurança em torno de agentes de IA. A vulnerabilidade CVE-2026-6442, confirmada e corrigida na versão 1.0.25 do Cortex Code CLI em 28 de fevereiro de 2026, revelou que comandos bash mal validados podiam ser executados fora da sandbox, mesmo após aprovação humana. Isso não dependia de engenharia social sofisticada: bastava um repositório malicioso com instruções disfarçadas de rotina de desenvolvimento. O ataque usava tokens em cache para acessar dados no Snowflake, sem necessidade de novas credenciais, um padrão já visto em EchoLeak (Copilot) e RoguePilot (GitHub Codespaces), onde o próprio fluxo de trabalho legítimo virou vetor de exfiltração.
Essa classe de falha tem nome técnico preciso: escape de sandbox por prompt injection indireto. Diferente de injeções diretas que tentam 'quebrar' o modelo com palavras-chave, essas exploram lacunas na arquitetura de execução, como a falta de isolamento rigoroso entre módulos Read e Exec, ou a ingestão não filtrada de conteúdo externo (arquivos do Word, issues do GitHub, mensagens do Slack). É menos sobre o que o LLM entende e mais sobre como ele foi integrado ao sistema operacional, às APIs e aos pipelines de dados.
Por que isso importa
Para equipes de dados e engenharia, isso significa que governança não pode mais ficar só no nível de acesso ao banco ou no controle de schemas. Um pipeline que envia dados para o Cortex, ou um job CI/CD que chama o Claude Code, agora é uma superfície de ataque com potencial de RCE e exfiltração silenciosa. A introdução do Cortex AI Guardrails pela Snowflake em 1º de maio de 2026, com políticas centralizadas de bloqueio de jailbreak e prevenção em tempo real, mostra que a resposta está migrando do paliativo (corrigir CLI) para o estrutural (governança baseada em política). Mas guardrails só funcionam se ativados, configurados e auditados, e 54% dos profissionais de TI já relataram incidentes de segurança relacionados à IA, muitos sem visibilidade clara de origem ou impacto.
Linha do tempo
Lançamento da versão 1.0.25 do Snowflake Cortex Code CLI, corrigindo a CVE-2026-6442
Divulgação pública do caso de escape de sandbox no Snowflake Cortex, com demonstração de execução de malware e exfiltração de dados
Lançamento do Cortex AI Guardrails pela Snowflake, com políticas centralizadas contra prompt injection e jailbreak
Perguntas frequentes
O que é 'escape de sandbox' em IA e por que ele é diferente de um ataque tradicional?
É quando um agente de IA consegue executar código ou acessar recursos além do ambiente restrito (sandbox) projetado para contê-lo. Diferente de invasões que exploram falhas de rede ou autenticação, esse escape acontece por meio de instruções maliciosas inseridas em prompts ou conteúdos externos, como um arquivo do Word ou um issue do GitHub, que enganam o sistema de execução, não o modelo em si.
A correção do Snowflake (versão 1.0.25) resolve o problema de forma definitiva?
Ela corrige a CVE-2026-6442 específica, uma falha de validação de comandos bash no Cortex Code CLI. Mas não elimina o risco geral de prompt injection. Ataques como EchoLeak e Reprompt mostram que o problema persiste em outros vetores: integração com email, links legítimos do Microsoft Graph, ou até documentos carregados no Slack AI. A correção é técnica; a mitigação exige arquitetura de segurança em camadas.
Como identificar se meu pipeline de dados está vulnerável a esse tipo de ataque?
Verifique se ferramentas de IA (Cortex, Copilot, Claude Code etc.) têm permissão para executar comandos no sistema, acessar APIs com credenciais em cache ou ler arquivos externos sem validação estrita de origem e conteúdo. Priorize auditorias de integração, não só do modelo, mas de como ele se conecta ao seu stack: CI/CD, data lake, endpoints de API e sistemas de autenticação.
O que é o OWASP Top 10 para Aplicativos LLM e por que o prompt injection está no topo?
É uma lista atualizada anualmente com as vulnerabilidades mais críticas em aplicações baseadas em modelos de linguagem. O prompt injection lidera desde 2025 porque permite contornar salvaguardas de forma replicável, com baixo custo operacional para o atacante e alto impacto, desde vazamento de segredos até execução remota de código. Não depende de bugs no modelo, mas de falhas de projeto na forma como ele é implantado.
Fontes
- promptarmor.comfonte original
- Categoria
- CEVIU Dados
- Publicado
- 19 de março de 2026
- Editoria
- CEVIU Dados
